1
Partie 2
Sécurité des Réseaux Sécurité des Réseaux Locaux Informatiques Locaux Informatiques
VLAN et WLAN VLAN et WLAN
LES RESEAUX LOCAUX INFORMATIQUES ETHERNET 10BASE5
® UtilisationUtilisationd’un BUSd’un BUS
®®PartagePartagedudusupport support entreentreles stations au moyenles stations au moyend’un protocoled’un protocolede de niveauniveau2 (Liaison) 2 (Liaison) appelé
appeléMAC (Medium Access Control) MAC (Medium Access Control)
Carte coupleur (contrôleur de communication)
Adaptateur(codeur) Prise
(connecteur BNC, RJ45)
Interface (Medium access Unit)
Support physique BUS
3
ARCHITECTURE ARCHITECTURE IEEE 802 LAN et WLAN IEEE 802 LAN et WLAN
page 3
COUCHE PHYSIQUE MAU: MEDIUM ACCESS UNIT COUCHE LLC: LOGICAL LINK CONTROL
(gestion des communications multipoint) 802.3
ethernet 802.4 jeton sur bus
802.5 jeton sur
boucle
802.11 WLAN
802.15 Bluetooth
TCP = TRANSMISSION CONTROL PROTOCOL
IP = INTERNET PROTOCOL
PROTOCOLE DE NIVEAU 4:
SERVICE DE TRANSPORT CIRCUIT VIRTUEL CONNECTE AVEC CONTROLE DE FLUX PROTOCOLE DE NIVEAU 3:
ADRESSAGE ET ROUTAGE IP
COUCHE MAC:
MEDIUM ACCESS CONTROL
1 1 2 2 3 3
ETHERNET 802.3 10 base T (1990)
® Utilisation d’une topologie en étoile autour d’un HUB (migration facile)
® Faciliter la gestion du parc de terminaux
® Ne supprime pas les collisions
® Les stations se partagent les 10 Mbps
® Réduire les collisions pour accroitre les débits
® Utilisation d’une topologie en étoile (migration facile)
® Remplacer le nœud central passif (HUB) par un commutateur.
® chaque station possède 10 Mbps entre elle et le Commutateur
® Mettre à peu de frais des réseaux virtuels (utilisation de table dans les commutateurs)
ETHERNET COMMUTE PRINCIPES
Commutateur
A
B C D
stations E
port
SWITCH COMMUTE - APPRENTISSAGE
7
Switch multi Protocole (3com) Répéteur/adaptateur (UNICOM)
hubs 16/8 ports (HP)
Commutateur/ Switch Netgear
Switch empilables
REPEATER / HUB / SWITCH REPEATER / HUB / SWITCH
VLAN
9
Typologie des VLAN
Plusieurs types de VLAN sont définis, selon le critère de commutation et le niveau auquel il s'effectue :
1. Un VLAN de niveau 1(aussi appelés VLAN par port, en anglais Port- Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur ;
2. Un VLAN de niveau 2(également appelé VLAN MAC ou en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station; le défaut est que chaque station doit être manuellement associée à un VLAN.
3. Un VLAN de niveau 3
10
Typologie des VLAN (2)
3. Un VLAN de niveau 3: on distingue plusieurs types de VLAN de niveau 3 :
• Le VLAN par sous-réseau(en anglais Network Address-Based VLAN) associe des sous-réseaux selon l‘adresse IP source des datagrammes.
Solution souple car la configuration des commutateurs se modifient automatiquement en cas de déplacement d'une station. En contrepartie une légère dégradation de performances car les informations contenues dans les paquets doivent être analysées plus finement.
• Le VLAN par protocole(en anglais Protocol-Based VLAN) permet de créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d'un même réseau.
11
VLAN et QOS
- IEEE 802.1p et 802.1q -
Les r
Les ré éseaux WLAN seaux WLAN
Réseaux locaux sans fil (Wireless Local Area Networks) Faire communiquer des dispositifs sans fil dans une zone de couverture moyenne
WMAN
802.16- WiMax
WLAN
802.11, HiperLan1/2, HomeRF
WPAN
• 802.15 Bluetooth,
• Infrarouge 100m 10m
+km
WWAN
GSM, GPRS, UMTS
30 km
13 WPAN :
WPAN :
IEEE 802.15 (WiMedia) IEEE 802.15.1 : Bluetooth
IEEE 802.15.3 : UWB (Ultra Wide Band) IEEE 802.15.4 : ZigBee
HomeRF WLAN : WLAN :
IEEE 802.11 (Wifi) IEEE 802.11b IEEE 802.11a IEEE 802.11g IEEE 802.11n HiperLAN 1/2 WMAN
WMAN
IEEE 802.16 (WiMax) IEEE 802.16a IEEE 802. 16b IEEE 802.20 (MBWA)
Les standards r
Les standards ré éseaux sans fils seaux sans fils
14
• En 1985 les Etats-Unis ont libéré trois bandes de fréquence à destination de l'Industrie, de la Science et de la Médecine. Ces bandes de fréquence, baptisées ISM ( ISM (Industrial Industrial, , Scientific Scientific, , and and Medical Medical), ), sont les bandes 902-928 MHz, 2.400-2.4835 GHz, 5.725-5.850 GHz.
• En Europe la bande s'étalant de 890 à 915 MHz est utilisée pour les communications mobiles (GSM), ainsi seules les bandes 2.400 à 2.4835 GHz et 5.725 à 5.850 GHz sont disponibles pour une utilisation radio-amateur.
• En 1990 : IEEE débute la spécification d’une technologie de LAN sans fil
Les technologies WLAN
Les technologies WLAN
15
IEEE 802.11 (IEEE)
Juin 1997: finalisation du standard initial pour les WLAN IEEE 802.11
Fin 1999 : publication des deux compléments 802.11b et 802.11a
HiperLAN (ETSI)
1996: ratification de la norme HiperLAN/1 ( bande des 5 GHZ, jusqu’à 24Mbs)
HiperLAN/2 ( bande des 5 GHZ, jusqu’à 54Mbs)
HomeRF
Mars 1998: HomeRF Working Group pour la domotique sans fil (supporte voix/données)
bande de 2,4 GHZ, 10 Mbs et passe à 20 Mbs
Les technologies WLAN Les technologies WLAN
Probl
Problè èmes rencontr mes rencontré és s dans les WLAN dans les WLAN
Interférence avec d’autres ondes ( Micro-ondes, équipements électroniques, autres réseaux sans fils adjacents)
Bandes de fréquences ISM : Industrial-Scientific-Medical
2,4 GHz comme Bluetooth (pas de licence d’exploitation requise) Longévité des batteries
Inter-opérabilité Sécurité
Qualité de Services
17
802.11x
802.11x – – Amendements Amendements
– 802.11a - Vitesse de 54 Mbits/s (bande 5 GHz) – 802.11b - Vitesse de 11 Mbits/s (bande ISM 2,4 GHz) – 802.11g - Vitesse de 54 Mbits/s (bande ISM)
– 802.11n - Vitesse de 100 Mbits/s (bande ISM) – 802.11e - Qualité de service
– 802.11x – Amélioration de la sécurité (court terme) : WEP – 802.11i - Amélioration de la sécurité (long terme) : AES – 802.11f – itinérance : Inter-Access point roaming protocol
La famille des standards IEEE 802 La famille des standards IEEE 802
18
Wi Wi - - Fi Fi ou 802.11b ou 802.11b
• Basé sur la technique de codage physique DSSS : étalement de spectre à séquence directe (Direct Sequence Spread Spectrum);
• Mécanisme de variation de débit selon la qualité de l’environnement radio : débits compris entre 1 et 11 Mbits/s
150 1
100 2
75 5
50 11
Portée (Mètres) Vitesses
(Mbits/s)
500 1
400 2
300 5
200 11
Portée (Mètres) Vitesses
(Mbits/s) Zone de
couverture
À l’interieur des batiments À l’extérieur des batiments
19
Les risques liés à la mauvaise protection d'un réseau sans fil Les risques liés à la mauvaise protection d'un réseau sans fil sont multiples :
sont multiples :
1. 1. L‘interception de données L‘
interception de donnéesconsistant à écouter les transmissions consistant à écouter les transmissions des différents utilisateurs du réseau sans fil
des différents utilisateurs du réseau sans fil
2. 2. Le détournement de connexion Le
détournement de connexiondont le but est d'obtenir l'accès à dont le but est d'obtenir l'accès à un réseau local ou à
un réseau local ou à internet internet
3. 3. Le brouillage des transmissions Le
brouillage des transmissionsconsistant à émettre des signaux consistant à émettre des signaux radio de telle manière à produire des interférences
radio de telle manière à produire des interférences
4. 4. Les dénis de service Les
dénis de servicerendant le réseau inutilisable en envoyant des rendant le réseau inutilisable en envoyant des commandes factices
commandes factices
Sé S écurit curité é dans le standard IEEE 802.11 dans le standard IEEE 802.11
Tous les mécanismes de sécurité initiaux peuvent être déjoués :
Tous les mécanismes de sécurité initiaux peuvent être déjoués : avec les avec les Outils «
Outils « AirSnort AirSnort » or « WEPcrack » or « WEPcrack » » –
– A court terme
A court terme
1. 1. Wired Equivalent Privacy (WEP) Wired Equivalent Privacy (WEP) étendue étendue – – clé clé de cryptage passe de cryptage passe de 64 de 64 à à 128 bits 128 bits –
– Défaut Défaut : : une une seule seule et même et même clé clé pour toutes pour toutes les stations les stations –
– A moyen
A
moyentermeterme
2. 2. Wifi Wifi Protected Access (WPA) Protected Access (WPA) –
– Double Double authentification authentification du du terminal sur terminal sur la base la base du du port port physique (802.1x)
physique (802.1x) puis puis par mot de par mot de passe passe ou ou carte carte à à puce via puce via un
un serveur serveur RADIUS (EAP). RADIUS (EAP).
– – TKIP : Temporal Key Integrity Protocol (TKIP) : TKIP : Temporal Key Integrity Protocol (TKIP) : clé clé différente différente par station et par
par station et par paquet paquet avec renouvellement avec renouvellement périodique périodique; ; –
– A long terme
A long terme
3. 3. 802.11i basé sur AES (Advanced Encryption Standard) 802.11i basé sur AES (Advanced Encryption Standard) -
- WPA + WPA + algo algo. de . de cryptage cryptage plus plus robuste robuste et et moins moins gourmand en gourmand en resource
resource
Sé S écurit curité é dans le standard IEEE 802.11 dans le standard IEEE 802.11
21
Les services de station Les services de station - -1 1- -
authentification
processus suivant l’accès à une cellule et précédent une association
prévention de l’accès aux ressource du réseau en deux modes :
station
AP Demande
authentification
Résultat Acceptation/Refus
AP station
Demande authentification
Challenge utilisant clé WEP [3]
Réponse utilisant clé WEP
Open System Authentication
Open System Authentication Shared Key AuthenticationShared Key Authentication
Résultat Acceptation/Refus
22
Topologies IEEE 802.11 Topologies IEEE 802.11 - - 1 1 - -
Architecture basée infrastructure architecture cellulaire
architecture BSS ( Basic Service Set )
chaque cellule (BSS) est contrôlée par une station de base appelée Point d’accès : AP (Access Point)
Basic Service Set
Access Point
23
Topologies IEEE 802.11 Topologies IEEE 802.11 - -2 2- -
Architecture ad hoc aucune infrastructure
architecture IBSS ( Independent Basic Service Set )
IndependentBasic Service Set
Au cœ Au c œur de la couche MAC 802.11 ur de la couche MAC 802.11
fonctions sous
fonctions sous- -couche MAC couche MAC accès au réseau
sécurité (authentification, confidentialité) économie d’énergie
accès au médium
fragmentation des longues trames
Qualité de Services
25
•
• Allumer station
Allumer station : :
phase de découvertephase de découverte –
– Découvrir l’AP et/ou les autres stations Découvrir l’AP et/ou les autres stations –
– La station La station attend de recevoir
attend de recevoirune trame de balise ( une trame de balise (Beacon Beacon) émise ) émise toute les 0,1 sec.
toute les 0,1 sec.
–
– A la réception de « A la réception de « Beacon Beacon » prendre les paramètres (SSID & » prendre les paramètres (SSID &
autres) autres)
– – SSID Service Set Identifier : nom du réseau (chaîne de 32 SSID Service Set Identifier : nom du réseau (chaîne de 32 caractères max.)
caractères max.)
•
• Présence détectée
Présence détectée : : rejoindre le r
rejoindre le rééseauseau–
– Service Set Id (SSID) : nom du réseau de connexion Service Set Id (SSID) : nom du réseau de connexion – – Synchronisation Synchronisation
–
– Récupération des paramètres de la couche PHY Récupération des paramètres de la couche PHY
•
• Négocier la connexion
Négocier la connexion –
– Authentification & Association Authentification & Association
Initialisation : Acc
Initialisation : Accè ès au R s au Ré éseau seau
26
Diagramme d
Diagramme d’é ’é tats d’ tats d ’une station une station
Etat 1
(non authentifiée, non associée)
Etat 2
(authentifiée, non associée)
Etat 3
(authentifiée, associée) Authentification
acceptée
Association ou réassociation
acceptée
Dissociation notifiée
Désauthentification notifiée
Désauthentificationnotifiée
27
Accè Acc ès au s au medium medium
Deux m
Deux mé éthodes : thodes :
DCF (Distributed Coordination Function)
basé sur le mécanisme CSMA/CA (Carrier Sense
Multiple Access/Collision Avoidance) et Acquittement positif
utilisé en mode Ad hoc et AP
PCF (Point Coordination Function)
basé sur l’interrogation (Polling) utilisé en mode AP uniquement
les deux m
les deux mé écanismes peuvent coexister dans une même cellule canismes peuvent coexister dans une même cellule
Le CSMA/CA en mode DCF est basé sur : Le CSMA/CA en mode DCF est basé sur :
1.
1. L’écoute du canal avant transmission L’écoute du canal avant transmission 2.
2. Si canal occupé alors tirage aléatoire d’un délai d’attente ( Si canal occupé alors tirage aléatoire d’un délai d’attente (algo algo. . Backoff
Backoff) puis attente durant une durée prédéfinie de 234 ) puis attente durant une durée prédéfinie de 234 µs appelée appelée DIFS DCF Inter
DIFS DCF Inter Frame Frame Space Space; ; 3.
3. Si canal libre alors : Si canal libre alors : 1.
1. Annonce de l’intention d’émettre par la source (trames RTS) Annonce de l’intention d’émettre par la source (trames RTS) 2.
2. Annonce de l’intention de recevoir par la destination ou le Point Annonce de l’intention de recevoir par la destination ou le Poin t d’accès (trames CTS) : car problème des stations cachées.
d’accès (trames CTS) : car problème des stations cachées.
4. 4. Envoi des trames en rafales avec une temporisation entre 2 trame Envoi des trames en rafales avec une temporisation entre 2 trames s d’une durée de 28
d’une durée de 28 µs (IFS : Inter (IFS : Inter Frame Frame Sequence Sequence) ) 5.
5. Acquittement positif des trames par le destinataire (trames ACK) Acquittement positif des trames par le destinataire (trames ACK)
CSMA/CA
CSMA/CA
29
DCF - DCF - CSMA/CA CSMA/CA
N
N Medium occupé ?Medium occupé ? écouter medium écouter medium
attendre pendant DIFS * attendre pendant DIFS *
Medium occupé ?
Medium occupé ? Décision d'envoi Décision d'envoi
N
Transmission avec succès Transmission avec succès Transmission de données Transmission de données
Collision?
Collision?
Y
Y
Y
Algorithme Backoff Algorithme Backoff
* Distributed InterFrame Spacing
30
intervalles d
intervalles d ’acc ’ accè ès au s au medium medium
Medium libre
SIFS PIFS
DIFS
temps
IFS (
IFS (IInter nter FFramerameSSpacepace))
SIFS (Short Inter Frame Space) : 28 µs
plus grande priorité (utilisé pour les trames prioritaires comme CTS, ACK
PIFS (PCF Inter Frame Space) : SIFS + 78 µs utilisé par les stations opérants en mode PCF
priorité moyenne, pour des applications time-bounded DIFS (DCF Inter Frame Space) : PIFS + 128 µs
utilisé par les stations opérants en mode DCF priorité la plus basse, pour données best effort
31
DCF
DCF – – algorithme algorithme backoff backoff - -1 1- -
trame Source
Destination
Les autres
ACK DIFS
SIFS
DIFS
Trame suivante Accès différé
Fenêtre de contention
Délai d’attente : tirage aléatoire Back off pour l’accès différé
Time slot